Besluit tot wijziging van artikel 25 van het besluit van de Vlaamse Regering van 16 mei 2014 houdende de interoperabiliteitsnormen inzake elektronische gegevensuitwisseling voor sommige Vlaamse bestuursinstanties

Het besluit legt uniforme basisregels vast voor veilige automatische gegevensuitwisseling via digitale koppelingen tussen Vlaamse overheidsdiensten en erkende partners.
Samenvatting in gewone taal
Dit besluit vernieuwt artikel 25 en legt minimumregels vast voor digitale gegevensuitwisseling via API’s (koppelingen waarmee computersystemen van Vlaamse diensten en hun erkende partners met elkaar praten). Doel: overal dezelfde, veilige en goed beheersbare aanpak. Concreet: - Alle dataverkeer is versleuteld met moderne standaarden; publieke eindpunten krijgen extra beveiliging. Waar nodig controleren beide partijen elkaars identiteit. - Toegang gebeurt met sterke aanmelding en fijnmazige rechten. Aanmeldcodes (tokens) zijn maximaal 10 minuten geldig en worden bij gebruik vernieuwd. Rechten worden beperkt tot wat nodig is. - Gegevens worden uitgewisseld in vaste, open formaten zoals JSON (gestructureerde tekst) of XML, met internationale tekencodering. Datum en tijd volgen een eenduidige notatie in wereldtijd. Versies van API’s worden duidelijk aangeduid; foutmeldingen hebben één herkenbaar formaat. - Beschikbaarheid: minstens 99,5% per maand. Prestaties: 95% van de leesaanvragen krijgt binnen 800 milliseconden antwoord. Deze regels gelden voor Vlaamse bestuursinstanties en hun gemachtigde of erkende derden en treden in werking op 1 september 2025. Burgers en bedrijven profiteren van veiligere en betrouwbaardere digitale dienstverlening.
Documenttype
Besluit
Publicatiedatum
24 april 2026
Status
Geldig
Trefwoorden
interoperabiliteit elektronische gegevensuitwisseling API beveiliging Vlaamse bestuursinstanties digitale overheid

INHOUDSTAFEL

Hoofdstuk 1. Wijzigingen van het besluit van de Vlaamse Regering van 16 mei 2014 houdende de interoperabiliteitsnormen inzake elektronische gegevensuitwisseling voor sommige Vlaamse bestuursinstanties
Hoofdstuk 2. Slotbepalingen

Hoofdstuk 1. Wijzigingen van het besluit van de Vlaamse Regering van 16 mei 2014 houdende de interoperabiliteitsnormen inzake elektronische gegevensuitwisseling voor sommige Vlaamse bestuursinstanties

Artikel 1. ( 01/09/2025 - Wijziging van artikel 25 )

In artikel 25 van het besluit van de Vlaamse Regering van 16 mei 2014 houdende de interoperabiliteitsnormen inzake elektronische gegevensuitwisseling voor sommige Vlaamse bestuursinstanties, het laatst gewijzigd bij het besluit van de Vlaamse Regering van 28 april 2024, wordt de tekst vervangen door wat volgt:
"Art. 25. Minimale technische en organisatorische voorwaarden voor API-gebaseerde gegevensuitwisseling

§1. Toepassingsgebied en doel. Dit artikel is van toepassing op de elektronische, geautomatiseerde gegevensuitwisseling tussen Vlaamse bestuursinstanties en tussen die bestuursinstanties en door hen erkende of gemachtigde derden, via toepassingsprogrammatuurinterfaces (API's) of gelijkwaardige koppelvlakken. Het beoogt een minimale, uniforme beveiliging, interoperabiliteit en beheersbaarheid te verzekeren.

§2. Transportbeveiliging. Voor alle netwerkverbindingen wordt ten minste gebruikgemaakt van TLS 1.3 of hoger met ondersteuning van perfect forward secrecy. De ondersteunde ciphersuites worden beperkt tot AES-256-GCM en CHACHA20-POLY1305. Servercertificaten worden uitgegeven door een gekwalificeerde of door de Vlaamse overheid erkende vertrouwensdienstverlener. HSTS wordt geactiveerd voor publieke eindpunten. Indien de aard van de uitwisseling dit vereist, wordt wederzijdse TLS-authenticatie toegepast.

§3. Identiteits- en toegangsbeheer. De authenticatie en autorisatie gebeuren op basis van OAuth 2.0 met OpenID Connect 1.0. Toegangstokens zijn JSON Web Tokens die cryptografisch worden ondertekend met JWS (RSASSA-PSS met ten minste 2048 bits of ECDSA P-256). De maximale geldigheid van toegangstokens bedraagt tien minuten. Verstrekte bevoegdheden worden beperkt volgens het need-to-knowbeginsel en worden vastgelegd in scopes. Refresh tokens worden bij elk gebruik geroteerd. Audience- en issuer-claims worden gevalideerd door de ontvangende partij.

§4. Gegevensformaten en versies. Gegevens worden uitgewisseld in JSON conform RFC 8259 of in XML 1.0 gevalideerd tegen XML Schema 1.1. Tekstcodering is UTF-8. Datum- en tijdnotaties volgen ISO 8601 in UTC. API-versiebeheer volgt semantische versies en vermeldt de hoofdversie expliciet in het pad of via een overeengekomen header. Foutmeldingen worden eenduidig geleverd in problem+json conform RFC 7807.

§5. Beschikbaarheid en prestaties. De minimale maandelijkse servicebeschikbaarheid van productie-eindpunten bedraagt 99,5%. Voor leesoperaties bedraagt de 95e percentielwaarde van de responstijd maximaal 800 milliseconden onder normaal belastingprofiel. Niet-functionele limieten zoals doorvoersnelheden en rate limits worden gepubliceerd en toegepast zonder discriminatie. Voor verwerkingen die langer dan dertig seconden duren, wordt een asynchrone verwerkingswijze aangeboden met callback of pollingmechanisme.

§6. Registratie, documentatie en versieafbouw. Elke publiek beschikbare of interbestuurlijke API wordt vooraf geregistreerd in het Vlaams API-register met een volledige en actuele OpenAPI 3.1-specificatie. Wijzigingen met impact op compatibiliteit worden minstens vijf werkdagen vooraf aangekondigd in het register en via een wijzigingslog. Bij uitfasering van functionaliteit wordt een deprecatieperiode van minimaal zes maanden gerespecteerd. Tijdens de deprecatieperiode wordt een 'Deprecation'-header opgenomen en wordt een alternatief gedocumenteerd.

§7. Logging, tijdsynchronisatie en audit. Transacties worden gelogd met ten minste de volgende elementen: unieke correlatie-identificator, tijdstip in UTC, identiteit van de aanroeper of dienst, aangevraagde resource en resultaatcode. Logbestanden worden beschermd tegen ongeoorloofde wijziging en minstens achttien maanden bewaard, behoudens strengere wettelijke verplichtingen. Alle betrokken systemen synchroniseren hun klok met een betrouwbare tijdsbron via NTP of gelijkwaardig. Auditsporen worden op verzoek beschikbaar gesteld aan de daartoe bevoegde instanties.

§8. Beveiligingsbeheersmaatregelen. Gevoelige gegevens worden in rust versleuteld met een algoritme met een veiligheidsniveau gelijkwaardig aan AES-256. Sleutelbeheer volgt een functiescheiding en geregistreerde rotatieprocedures. Toegang tot beheerinterfaces is afgeschermd via sterke authenticatie. Kwetsbaarheidsscans worden minstens driemaandelijks uitgevoerd; kritieke kwetsbaarheden worden binnen vijftien kalenderdagen na detectie verholpen.

§9. Conformiteits- en integratietesten. Voor elke API wordt een geautomatiseerde conformiteitstest gepubliceerd waarmee integratoren hun implementatie kunnen valideren. Voor productiegebruik levert de aanbieder op verzoek een ondertekend conformiteitsrapport af dat niet ouder is dan twaalf maanden. Digitaal Vlaanderen of een door haar gemandateerde entiteit kan steekproefsgewijs audits uitvoeren op naleving van dit artikel.

§10. Incidentmelding en continuïteit. Beveiligingsincidenten met aanzienlijke impact op beschikbaarheid, integriteit of vertrouwelijkheid worden binnen twee uur na vaststelling gemeld aan het bevoegde Vlaamse incidentmeldpunt. Een eerste inhoudelijke stand van zaken volgt binnen vierentwintig uur. Elke aanbieder beschikt over een gedocumenteerd en getest continuïteits- en noodherstelplan met een maximaal aanvaard hersteltijdobjectief passend bij de dienstverlening.

§11. Gegevensbescherming. Verwerkingen zijn afgestemd op de beginselen van gegevensminimalisatie en doelbinding. Voor uitwisselingen met hoog risico wordt vooraf een gegevensbeschermingseffectbeoordeling opgesteld. Verwerkingen vinden plaats binnen de Europese Economische Ruimte, behoudens wanneer er passende waarborgen zijn getroffen overeenkomstig de toepasselijke regelgeving.

§12. Afwijkingen. Afwijkingen op de in dit artikel vastgelegde normen zijn slechts mogelijk op basis van een met redenen omklede beslissing van de functioneel bevoegde leidend ambtenaar, na voorafgaand advies van Digitaal Vlaanderen. De afwijking vermeldt de duur, de reikwijdte en de compenserende maatregelen en wordt geregistreerd in het Vlaams API-register."

Hoofdstuk 2. Slotbepalingen

Artikel 2. ( 01/09/2025 - Inwerkingtreding en overgangsmaatregelen )

Dit besluit treedt in werking op 01/09/2025. Voor API's die op 31/08/2025 reeds in productie zijn, geldt een overgangstermijn tot en met 01/12/2026 voor de volledige naleving van artikel 25, §2, §3, §5 en §6. Tijdens de overgangstermijn worden in elk geval TLS 1.2 zonder perfect forward secrecy, onbeveiligde eindpunten en niet-gedocumenteerde breaking changes niet meer toegestaan. Afwijkingen die vóór 01/09/2025 rechtmatig zijn verleend, blijven geldig tot het einde van hun geldigheidsduur, onverminderd strengere verplichtingen die rechtstreeks uit regelgeving of beveiligingsadvies voortvloeien.